作为安全人员,我们倾向于高估或低估用户的能力和受教育程度,尤其是在抵御社会工程攻击方面。
刻板印象,这是因为我们都是住在地下室的社会排斥者,但更多时候是我们不经常与用户互动的情况。这可能是一个问题,尤其是对于社会工程攻击,因为我们可能会错过关键问题或将注意力和资源引导到错误的事情上。我们可能会认为用户是要训练的人,但现实往往是我们需要训练自己。
在安全意识方面,我们如何更好地了解我们的用户?
当您说“……不经常与我们的用户互动”时,我认为您已经一针见血了
您绝对必须与最终用户合作以了解他们的观点——大多数最终用户对了解 0 天甚至意味着什么没有兴趣,更不用说他们为什么要关心了。
我所做的很多事情是技术安全团队和非技术客户之间的接口,在我看来,最好的方法是与用户坐下来了解他们的工作对他们的要求。容易和困难的方面是什么?
您了解用户的驱动程序吗?如果你不与他们交谈,你就不会——而且我所说的交谈并不是指宣传安全问题。我的意思是倾听他们,倾听他们关于 IT 无法正常工作的咆哮,倾听他们认为作为日常工作一部分需要做的事情,然后离开并分析他们的驱动因素和愿望对您的安全目标有何影响。
因为归根结底,在许多组织中,安全性被视为一个障碍,只是阻止人们工作的东西;然后当组织被黑客入侵时,安全团队没有确保他们的安全是错误的。
首先是基层的意识——然后建立您的安全战略以支持 IT 战略和业务战略。用户级别的支持将使改进项目和 BAU 的内置安全性变得更加简单。
我知道这更像是评论而不是答案,但是......(除了罗里的回答)
小话,小话,小话!
最好的方法是与他们交谈,尤其是在他们休息时。干扰他们的日常工作可能会适得其反。从完全不相关的话题开始(我在市场上发现了很棒的应用程序。它是关于……),然后慢慢转向你想要讨论的话题。
而且,根据我的经验,我建议避免正式的面试——他们会给人带来太大的压力,而且通常你不会因为害怕失败/做错事而得不到你想要的那么多数据。
可用性,可用性,可用性。
如果您希望用户以安全的方式行事,它必须是他们遵循的最简单的路径。安全通常不会让事情变得更容易。这在很大程度上是我们给他们提出苛刻要求的错。
就像提示用户“输入三个或更多单词的新密码”而不是提示他们“选择至少 10 个 ASCII 可打印字符的密码,其中至少包含一个大写字母和一个数字或特殊字符,不包括和号、撇号和引号”将有助于鼓励安全行为,而不会难以使用。从心理上讲,三个单词少于 15 个字符,因此人们不太可能感到沮丧。
对于一个组织来说,拥有足够具有安全意识的员工以抵御针对个人和他们使用的系统的不同类型的攻击,这一点非常重要。
为了找到用户对安全的认识,同时也有助于培养和使安全思维成为所有员工的固有属性,我建议您让管理层承诺拥有具有安全意识的员工。就重要因素对管理层进行适当培训,并让他们知道员工的安全知识可能是绩效指标。在我看来,这是至关重要的第一步,以便正确地确定衡量/发现我们用户心态的需要。
例如,您如何回答这些问题?
如果您已经有办法回答上述问题,那么我认为您需要将安全意识融入这些流程。我的观点是,了解用户心态的过程应该融入到回答上述问题的过程中。您如何回答您的问题以及上述问题的一些示例:
面试、员工谈话和问卷调查的示例问题(为了提高意识,立即回答问题,而不是只给他们一个最终分数):
更新: SANS今天在推特上表示,他们已经发布了用于衡量人类风险和行为的新资源。
指标使您能够跟踪和衡量您的安全意识计划的影响。这可用于改进您的培训、展示投资回报或将您的人为风险与您所在行业的其他组织进行比较。
有几个不同的资源可用:
度量矩阵。
此电子表格确定并记录了用于衡量您的安全意识计划的不同选项
衡量人类风险 - 调查
这项包含 25 个问题的调查将帮助您确定组织中的人为风险。每个问题及其各自的答案都有不同程度的风险。根据您的员工的反应,您可以将答案加起来并确定您的人为风险的定量值。
网络钓鱼评估计划包
网络钓鱼评估不仅是衡量您的意识计划影响的一种简单有效的方法,而且是强化关键培训概念的一种非常有效的方法。该软件包可帮助您逐步规划、构建和实施成功的网络钓鱼评估程序,包括多个模板。